Ciberseguridad, la carrera tecnológica contra el crimen

Ciudad de México, 27 de octubre de 2020.

Actualmente, a causa de la pandemia de COVID-19, muchas organizaciones han tenido que acelerar sus planes de transformación digital para mantener sus operaciones, así como desarrollar páginas web y aplicaciones de comercio electrónico, con el objetivo de responder a los nuevos hábitos de consumo de sus clientes.

Sin embargo, a pesar de que el correcto funcionamiento de estas plataformas, por su naturaleza informática, depende en gran medida de contar con sistemas de ciberseguridad fuertes, todavía existen muchas empresas en el país que consideran que este tema es algo independiente de su negocio y deciden no asignarle los recursos suficientes.

Asumir esta postura, en el contexto actual, representa un riesgo. ¿La razón? Que cada vez hay más criminales que se especializan en inspeccionar la infraestructura digital de las compañías, para conocer sus puntos débiles y poder atacarlas.

De acuerdo con RiskBased Security, organización internacional especializada en análisis de riesgos, en 2019, la cantidad de registros públicos y privados filtrados (en su mayoría por ataques cibernéticos) aumentó hasta 112% en comparación con 2018. Asimismo, Google señaló, en marzo de 2020, que la creación de sitios web para cometer delitos de phishing —que se caracterizan por acceder a la infraestructura digital de las organizaciones tras dar clic a enlaces controlados por criminales— fue 350% mayor a la de enero de este año.

Conociendo estas cifras, no debe extrañarnos que, hoy, las organizaciones estén destinando mayores recursos a la ciberseguridad, con el objetivo de protegerse y reducir la probabilidad de que alguien dañe su negocio. Solo durante 2020, según la firma de investigación Gartner Inc., el gasto promedio en este tipo de áreas de las compañías y gobiernos de todo el mundo se incrementará 5%; mientras que, entre 2021 y 2024, el aumento será de 9%, alcanzando los 207 mil millones de dólares, pero, ¿serán estas inversiones suficientes?

El camino a seguir

¿Qué porcentaje del total de la inversión que una empresa hace en tecnología se recomienda asignar a la ciberseguridad? Entre 10% y 30%; sin embargo, desde nuestra perspectiva, no existe un porcentaje preciso y definido; la cantidad de recursos que debe asignarse será la necesaria para garantizar la protección de los bienes digitales más importantes de la organización.

Lo aconsejable es que las compañías cambien su mentalidad y dejen de ver estos recursos como un gasto exclusivo en ciberseguridad, porque, en realidad, es una inversión para la protección de su negocio en conjunto.

Al momento de establecer una estrategia de ciberseguridad, la sugerencia será construirla sobre cuatro pilares:

1. Estrategia. Identificar las "joyas de la corona" (los factores verdaderamente importantes para alcanzar los objetivos de la empresa) y enfocar el plan general a su protección.
2. Seguridad. Implementación de controles internos para salvaguardar los bienes necesarios en la operación del negocio.
3. Vigilancia. Conocimiento de lo que sucede al interior y exterior de la empresa, con el objetivo de detectar aquello que podría convertirse en una amenaza.
4. Resiliencia. Capacidad para minimizar el impacto de cualquier incidente de ciberseguridad que se presente y para normalizar las operaciones.

En ciberseguridad, las organizaciones deben estar conscientes de que no existe el blindaje perfecto, ya que las amenazas van evolucionando y que, lo mejor que pueden hacer, en ese sentido, es prepararse, recurrir a especialistas y definir las estrategias que les permitan no solo protegerse, sino incluso, una vez sufrido algún ataque, recuperarse y resurgir más fuertes.

México: hay avances, pero también retos

El informe Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y el Caribe 2020, llevado a cabo por el Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA), revela que cerca de 60% de las organizaciones privadas del país maneja con responsabilidad la ciberseguridad.

Algunas empresas se han tomado muy en serio este asunto, invirtiendo en proteger lo que verdaderamente es valioso para ellas e incluso abordándolo desde sus consejos de administración y comités de auditoría; sin embargo, hay otras que, aunque son muy reconocidas e incluso llegan a cotizar en bolsa, mantienen controles básicos de seguridad, pensando que no sufrirán ningún ataque.

Aún queda mucho trayecto por recorrer, por ello, será necesario que no solo las empresas, sino también las autoridades, aborden este desafío y trabajen de manera conjunta y coordinada para propiciar la protección informática, tanto para las instituciones públicas como para las privadas, a través de acciones como la definición de la Ley General de Ciberseguridad, presentada al Poder Legislativo en septiembre de este año.

Lo mejor que se puede hacer, a nivel país, es brindarle al tema la relevancia que requiere y unir todos los esfuerzos posibles para evitar quedarse atrás en esta carrera tecnológica contra el crimen.